W dobie stale postępującej informatyzacji, sztucznej inteligencji oraz rozproszonych sieci kluczowe staje się pytanie: czy panujemy jeszcze nad naszą infrastrukturą techniczną? Mnogość połączeń oraz urządzeń mogą powodować, że w gąszczu różnych sieci przewodowych i bezprzewodowych oraz krytycznych pod względem bezpieczeństwa – może zdarzyć się błąd w konfiguracji, który zniweczy długo przygotowywaną architekturę bezpieczeństwa, w tym cyberbezpieczeństwa.
O ile sieci dawniej były ustrukturyzowane, gdzie ruch sieciowy urządzeń odpowiedzialnych za produkcję był jasno zdefiniowany na styku z siecią biznesową, o tyle obecnie, za sprawą powszechnie występujących sensorów Internetu rzeczy IoT ta granica się zaciera. Powszechność urządzeń IoT w instalacjach przemysłowych, mierzących różne parametry fizyczne wspomagając predykcję utrzymania ruchu, na przestrzeni ostatnich lat jest dość zaskakująca. Jest to jednak poważnym wyzwaniem organizacyjnym, które powinno podlegać takim samym kontrolom zabezpieczeń, jak te wypracowane przez długie lata wobec sieci tradycyjnych.
Jednocześnie zmieniają się uwarunkowania prawne. Dyrektywa unijna NIS 2 jest kontynuacją różnych wymagań, które istniały już w NIS 1, jak i polskiej Ustawie o Krajowym Systemie Cyberbezpieczeństwa (UKSC). Dodatkowo poszerza ona zakres objętych podmiotów (np. małe i średnie podmioty będące kluczowe dla przemysłu) oraz wskazuje niebagatelną rolę zarządu, który staje się odpowiedzialny za nadzór nad istniejącymi kontrolami bezpieczeństwa. Choć zarówno prawo w Polsce (UKSC), jak i wyżej wymieniona dyrektywa unijna wskazuje na potrzebę audytu zewnętrznego, przy szybkości zmian w infrastrukturze jaka następuję, częstość audytu raz na dwa lata wydaje się nie spełniać powierzonej roli.
Odpowiedzią na to powinno stać się przeprowadzenie regularnych wewnętrznych przeglądów i inwentaryzacji zasobów technicznych w firmie. Obecnie każda komórka organizacyjna w firmie ma jasno wydzielone zadania i każda zwykle ma na tyle dużo pracy, że nie starcza czasu, aby analizować zmiany w architekturze. Przy inwestycjach w nową infrastrukturę (w tym IoT), zawsze kładzie się nacisk na to by „po prostu działało”. Niewiele osób zadaje sobie trud, czy ta sieć jest odpowiednio skonfigurowana, aby nie było potencjalnych naruszeń zabezpieczeń całości sieci.
Wiedza o tym jak pisać wymogi oraz jak później sprawdzać istniejącą infrastrukturę jest dostępna i nie są to kompetencje, które wymagają pięciu lat studiów informatycznych. Zapewnienie cyberbezpieczeństwa i niezawodności przynajmniej do poziomu, w którym odeprzemy większość znanych ataków cybernetycznych oraz odpowiednio zareagujemy na incydent (spowodowany niekoniecznie przez cyberatak), jest zadaniem, które wymaga pewnej systematyki, ale może to być jasno zdefiniowany proces w firmie. Zaczyna się od podstawowych kontroli jak odpowiednia segmentacja sieci, odpowiednich zabezpieczeń kluczowych komponentów, np. stacji inżynierskich, umiejętność odtworzenia kopii bezpieczeństwa, aż po monitorowanie i logowanie połączeń, tam, gdzie nie da się ich wyraźnie odseparować.
Centrum wiedzy i kompetencji cyberbezpieczeństwa przy Międzynarodowym Centrum Bezpieczeństwa Chemicznego pozwala na naukę powyższego, także do poziomu, gdzie wybrany pracownik może stać się wewnętrznym audytorem w firmie z zakresu cyberbezpieczeństwa i niezawodności. Na bazie przykładowych instalacji przemysłowych można przetestować różne rozwiązania, które pomogą usystematyzować wiedzę z norm i przygotować do prowadzenia dyskusji na ważne aspekty ciągłości działania w firmie.
Powyższe zostało także usystematyzowane w formie kwalifikacji zawodowych, które pozwalają otrzymać tzw. kwalifikację cząstkową PRK poziom 6, podobnie jak przedmioty na studiach. Cały program prowadzony jest w nowoczesnym laboratorium, które odzwierciedla system produkcyjny i ukazuje możliwość odłączenia oraz zaburzenia sterowania zarówno z punku widzenia niezawodności, jak i cyberbezpieczeństwa. W tym wszystkim ważna jest systematyczność i podążanie za zmianami technologicznymi w firmie. Wykształcenie ludzi, którzy będą śledzić zmiany procesów i technologii spowoduje, że cały czas będziemy mogli panować nad infrastrukturą techniczną dostępną u siebie w firmie, a nie dojdziemy do sytuacji, w której nasza sieć będzie zlepkiem różnych technologii niekompatybilnych ze sobą. Wiedza ta powinna stać się także nieodzownym elementem każdego procesu inwestycyjnego, aby odpowiednio definiować wymogi i je właściwie egzekwować.
Powyższa tematyka będzie poruszana podczas Konferencji: „Nowy Model Energetyki”, organizowanej przez Wydawnictwo „Nowa Energia” w Kazimierzu Dolnym w dniach 19-21 listopada. Podczas niej zaprezentujemy modelowy sposób wdrożenia inwestycji, mając na uwadze na aspekty niezawodności i cyberbezpieczeństwa. Serdecznie zapraszamy na wykład 21 listopada 2024.
Fot. pixabay
Autor: Adam Paturej, Dyrektor Programu Cyberbezpieczeństwa, Fundacja Międzynarodowe Centrum Bezpieczeństwa Chemicznego
(Artykuł z wydania nr 5-6(96)/2024 „Nowa Energia” )
Źródło: Fundacja Międzynarodowe Centrum Bezpieczeństwa Chemicznego